Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

VLC Media Player MP4 Demuxer Arbitrary Memory Overwrite

27/02/2008 10H02
Référence Secunia : SA29122 
Date de publication : 2008-02-27

Risque : Elevé. Niveau 4 sur 5.
Impact : Accès au système
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
VLC media player 0.x

Référence CVE :
CVE-2008-0984


Description :
Une vulnérabilité a été rapportée dans VLC Media Player, qui pourrait être exploitée par des personnes malintentionnées pour compromettre un système vulnérable.

La vulnérabilité est causée du fait d'une erreur de limitation dans le MP4 demuxer (modules/demux/mp4/mp4.c). Cela pourrait être exploité pour sur-écrire an pratiquement arbitrairement la mémoire address via un fichier MPEG-4 spécialement conçu.

L'exploitation de ce problème pourrait être exploitée par un attaquant distant afin de compromettre une machine vulnérable.

La vulnérabilité est rapportée en version 0.8.6d. Les autres versions pourraient également être affectées.


Solutions :
Appliquer le correctif de l'éditeur.
http://www.videolan.org/patches/vlc-0.8.6-CORE-2008-0130.patch

L'éditeur va réaliser version 0.8.6e soon, qui corrige la vulnérabilité.

Ne pas ouvrir non-fiable fichiers ou browse des sites web non-fiables.


Vulnérabilité découverte par :

L'éditeur crédite Felipe Manzano et Anibal Sacco, Core Security Technologies.

Référence :
VideoLAN:
http://www.videolan.org/security/sa0802.html




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.